CWE-187ВариантНеполный
Частичное сравнение строк
Продукт выполняет сравнение, при котором анализируется только часть фактора (например, подстрока) перед определением совпадения, что порождает производные слабости.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2024-41110Moby - это проект с открытым исходным кодом, созданный Docker для контейнеризации программного обеспечения. В некоторых версиях Docker Engine обнаружена уязвимость безопасности, которая может позволить злоумышленнику обойти плагины авторизации (AuthZ) при определенных обстоятельствах. Базовая вероятность эксплуатации этого низкая.
Используя специально разработанный API-запрос, клиент Engine API может заставить демон пересылать запрос или ответ плагину авторизации без тела. При определенных обстоятельствах плагин авторизации может разрешить запрос, который в противном случае был бы отклонен, если бы тело было переслано ему.
В 2018 году была обнаружена проблема безопасности, когда злоумышленник мог обойти плагины AuthZ с помощью специально созданного API-запроса. Это может привести к несанкционированным действиям, включая повышение привилегий. Хотя эта проблема была исправлена в Docker Engine v18.09.1 в январе 2019 года, исправление не было перенесено в более поздние основные версии, что привело к регрессии. Любой, кто зависит от плагинов авторизации, которые анализируют тело запроса и/или ответа для принятия решений о контроле доступа, потенциально подвержен риску.
Docker EE v19.03.x и все версии Mirantis Container Runtime не уязвимы.
docker-ce v27.1.1 содержит патчи для устранения этой уязвимости. Патчи также были объединены в основные ветки релизов 19.03, 20.0, 23.0, 24.0, 25.0, 26.0 и 26.1. Если нет возможности немедленно обновиться, избегайте использования плагинов AuthZ и/или ограничьте доступ к Docker API для доверенных лиц, следуя принципу наименьших привилегий.
CVE-2024-39742IBM MQ Operator 3.2.2 и IBM MQ Operator 2.0.24 могут позволить пользователю обойти аутентификацию при определенных конфигурациях из-за уязвимости частичного сравнения строк. IBM X-Force ID: 297169.
CVE-2022-31802В CODESYS Gateway Server V2 для версий, предшествующих V2.3.9.38, только часть указанного пароля сравнивается с реальным паролем CODESYS Gateway. Злоумышленник может выполнить аутентификацию, указав короткий пароль, соответствующий части более длинного реального пароля CODESYS Gateway.
CVE-2026-44837view_component - это фреймворк для создания многоразовых, проверяемых и инкапсулированных компонентов просмотра в Ruby on Rails. С 3.0.0 до 4.9.0, точка входа системы теста канонизирует управляемый пользователем путь файла с помощью File.realpath, а затем проверяет, начинается ли решенный путь с пути временного каталога. Это не безопасная проверка сдерживания, потому что каталоги братьев и сестер могут совместно использовать один и тот же струнный префикс. Эта уязвимость зафиксирована в 4.9.0.
CVE-2026-34785Rack - это модульный интерфейс веб-сервера Ruby. До версий 2.2.23, 3.1.21 и 3.2.6 Rack::Static определяет, должен ли запрос подаваться в качестве статического файла с помощью простой проверки префикса строки. При настройке с префиксами URL, такими как "/css", он соответствует любому пути запроса, который начинается с этой строки, включая несвязанные пути, такие как "/css-config.env" или "/css-backup.sql". В результате файлы под статическим корнем, имена которых просто разделяют настроенный префикс, могут подаваться непреднамеренно, что приводит к раскрытию информации. Эта проблема была исправлена в версиях 2.2.23, 3.1.21, и 3.2.6.
CVE-2025-23384Уязвимость была выявлена в RUGGEDCOM RM1224 LTE(4G) EU (6GK6108-4AM00-2BA2) (Все версии < V8.2.1), RUGGEDCOM RM1224 LTE(4G) NAM (6GK6108-4AM00-2DA2) (Все версии < V8.2.1), SCALANCE M804PB (6GK5804-0AP00-2AA2) (Все версии < V8.2.1), SCALANCE M812-1 ADSL-Router family (Все версии < V8.2.1), SCALANCE M816-1 ADSL-Router family (Все версии < V8.2.1), SCALANCE M826-2 SHDSL-Router (6GK5826-2AB00-2AB2) (Все версии < V8.2.1), SCALANCE M874-2 (6GK5874-2AA00-2AA2) (Все версии < V8.2.1), SCALANCE M874-3 (6GK5874-3AA00-2AA2) (Все версии < V8.2.1), SCALANCE M874-3 3G-Router (CN) (6GK5874-3AA00-2FA2) (Все версии < V8.2.1), SCALANCE M876-3 (6GK5876-3AA02-2BA2) (Все версии < V8.2.1), SCALANCE M876-3 (ROK) (6GK5876-3AA02-2EA2) (Все версии < V8.2.1), SCALANCE M876-4 (6GK5876-4AA10-2BA2) (Все версии < V8.2.1), SCALANCE M876-4 (EU) (6GK5876-4AA00-2BA2) (Все версии < V8.2.1), SCALANCE M876-4 (NAM) (6GK5876-4AA00-2DA2) (Все версии < V8.2.1), SCALANCE MUB852-1 (A1) (6GK5852-1EA10-1AA1) (Все версии < V8.2.1), SCALANCE MUB852-1 (B1) (6GK5852-1EA10-1BA1) (Все версии < V8.2.1), SCALANCE MUM853-1 (A1) (6GK5853-2EA10-2AA1) (Все версии < V8.2.1), SCALANCE MUM853-1 (B1) (6GK5853-2EA10-2BA1) (Все версии < V8.2.1), SCALANCE MUM853-1 (EU) (6GK5853-2EA00-2DA1) (Все версии < V8.2.1), SCALANCE MUM856-1 (A1) (6GK5856-2EA10-3AA1) (Все версии < V8.2.1), SCALANCE MUM856-1 (B1) (6GK5856-2EA10-3BA1) (Все версии < V8.2.1), SCALANCE MUM856-1 (CN) (6GK5856-2EA00-3FA1) (Все версии < V8.2.1), SCALANCE MUM856-1 (EU) (6GK5856-2EA00-3DA1) (Все версии < V8.2.1), SCALANCE MUM856-1 (RoW) (6GK5856-2EA00-3AA1) (Все версии < V8.2.1), SCALANCE S615 EEC LAN-Router (6GK5615-0AA01-2AA2) (Все версии < V8.2.1), SCALANCE S615 LAN-Router (6GK5615-0AA00-2AA2) (Все версии < V8.2.1), SCALANCE SC-600 family (Все версии). Затронутые устройства неправильно проверяют имена пользователей во время аутентификации OpenVPN. Это может позволить злоумышленнику получить частично недопустимые имена пользователей, принимаемые сервером.